CenturyLink Anuncia Black Lotus Labs, Nova Divisão de Pesquisas e Operações sobre Ameaças

O Black Lotus Labs revela a distribuição global e a técnica de ocultação da botnet multiferramentas Necurs

Segunda-feira, 11 de março de 2019 — Reforçando sua dedicação a proteger a internet contra atores maliciosos, a CenturyLink, Inc. (NYSE:CTL) está compartilhando inteligência sobre a botnet Necurs, descoberta por sua nova divisão de pesquisas e operações sobre ameaças, o Black Lotus Labs.

A missão do Black Lotus Labs é a de aproveitar a visibilidade da rede da CenturyLink para ajudar a proteger clientes e manter a internet limpa.  Entre as formas através das quais o Black Lotus Labs faz isto está o rastreamento e a interrupção de botnets como Necurs, uma botnet prolífica e globalmente dispersa de distribuição de spam e malware que recentemente demonstrou uma técnica de ocultação para evitar detecção e acumular mais bots.

Leia o relatório do Black Lotus Labs sobre Necurs: https://www.netformation.com/our-pov/casting-light-on-the-necurs-shadow/.

“Necurs é a multiferramentas das botnets, que evoluiu de uma operação como botnet de spam que fornecia trojans bancários e ransomware, para o desenvolvimento de um serviço proxy, com capacidades de cripto mineração e DDoS", disse Mike Benjamin, líder do Black Lotus Labs. "O que é particularmente interessante é a cadência regular da Necurs em se tornar obscura para evitar a detecção, ressurgindo para enviar novos comandos para os hosts infectados e, em seguida tornando-se obscura novamente.  Esta técnica é uma das muitas razões pelas quais a Necurs foi capaz de se expandir para mais de meio milhão de bots ao redor do mundo".

Principais Mensagens

  • Desde maio de 2018, o Black Lotus Labs vem observando um tempo de inatividade regular e contínuo de cerca de duas semanas em funcionamento, seguido por aproximadamente três semanas de atividade para os três dos grupos mais ativos de bots que formam a Necurs.

  • As cerca de 570.000 bots da Necurs estão distribuídas globalmente, com aproximadamente metade localizada nos seguintes países, em ordem de predomínio: Índia, Indonésia, Vietnã, Turquia e Irã.

  • A Necurs utiliza um algoritmo de geração de domínio (DGA, na sigla em inglês) para ofuscar suas operações e evitar que sejam derrubadas. No entanto, o DGA é uma faca de dois gumes: como os domínios de DGA que serão utilizados pela Necurs são conhecidos antecipadamente, os pesquisadores de segurança podem utilizar métodos como o "sinkholing" de domínios e analisar o tráfego de DNS e de rede para enumerar as infraestruturas de bots e comando e controle (C2).

  • A CenturyLink tomou medidas para mitigar o risco da Necurs a clientes, além de notificar outros donos de redes sobre dispositivos potencialmente infectados, para ajudar a proteger a internet.

 

Recursos Adicionais

Sobre a CenturyLink
CenturyLink (NYSE: CTL) é o segundo maior provedor de comunicações dos Estados Unidos para clientes corporativos globais.  Com clientes em mais de 60 países e um foco intenso na experiência do cliente, a CenturyLink se esforça para ser a melhor empresa de redes do mundo, ao resolver a crescente demanda dos clientes por conexões confiáveis e seguras. A empresa também atua como o parceiro de confiança de seus clientes, ajudando-os a administrar complexidades crescentes de rede e TI e fornecendo soluções gerenciadas de rede e de cibersegurança, que ajuda a proteger seus negócios. 


Denise Claudino